Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Мы профессиональная команда, которая на рынке работает уже более 5 лет и специализируемся исключительно на лучших продуктах.

===============

Наши контакты:

Telegram:

>>>Купить через телеграмм (ЖМИ СЮДА)<<<

===============

____________________

ВНИМАНИЕ!!! Важно!!!

В Телеграм переходить только по ССЫЛКЕ, в поиске НАС НЕТ там только фейки!

Чтобы телеграм открылся он у вас должен быть установлен!

____________________

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Годовая подписка на Хакер. Материал адресован специалистам по безопасности и тем, кто собирается ими стать. Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи. Источник эпидемии Кстати, а откуда вообще берется андроид-ориентированная малварь? Наверное, из пиратских программ? С пиратских дискет? С пиратских компакт-дисков? Нет, погоди-ка, ведь сейчас у нас не год, а целый й Ан нет, оказывается, самый популярный репозиторий мобильных приложений, Google Play, серьезно подпортил свою репутацию — в году все самые успешные мобильные трояны и вирусы распространялись через него. Похоже, проблема в слишком богатом выборе для пользователя. На любой запрос найдется несколько десятков приложений, и большинство из них будет мусором. Даже если внимательно изучать описание приложения, до его установки все равно трудно понять, что именно оно делает. Опираться на опыт других пользователей тоже не получается — в Google Play очень много приложений с купленными отзывами. Как ты понимаешь, стоит один раз запустить троян и потом будет очень сложно от него избавиться. А если же у трояна будет еще и полезная нагрузка, то простому пользователю вычислить наличие вредоносного контента практически невозможно. Где я? Эффективность трояна во многом зависит от того, насколько хорошо он умеет адаптироваться под разные устройства. Начинать приходится с малого — определения версии ОС на устройстве жертвы, эта информация есть в классе Build. Но этой информации будет недостаточно, вендоры любят модифицировать прошивку так, что без падений не удается обойтись даже легальным приложениям. Наверняка ты знаком с оболочкой MIUI, которая серьезно поменяла принципы работы ОС, а китайских телефонов сейчас очень много. Больше данных об устройстве доступно из консольной команды getprop. Вызов getprop даст много информации, можно отбросить часть с помощью grep более подробные исходники смотри здесь. Рут открывает не только расширенные возможности для юзера, но и раздолье для трояна. Стратегий определения наличия прав на устройстве много. Самое простое — пройтись по директориям в поисках бинарника su. Вот примерный набор подходящих для него путей:. Наличие его хотя бы в одном месте с высокой вероятностью укажет, что на устройстве доступны права суперпользователя. Если троян сможет внедриться в пространство других приложений, то пользователя спасет только полная переустановка ОС. Root-права позволяют инжектить в системные вызовы, вставляя вредоносный код в самые неожиданные места. Если кратко, то подобные инжекты предоставляют злохакерам самые широкие возможности — от замены ID рекламных баннеров, что позволяет получать деньги за чужой показ рекламы, до модификации системных утилит. Если ты не следишь вплотную за статистикой мира Android, то можешь удивиться: еще в апреле каждое третье Android-устройство работало под операционной системой версии 4. Это старые операционки, для которых уже долгое время в публичном доступе есть множество хакерских утилит. На GitHub давно выложены исходники хорошо написанного трояна GmBot. Он как раз заточен под четвертую версию ОС и умеет практически все: манипулировать персональной информацией, СМС, камерой и прочее. GmBot сделан очень качественно, и неудивительно, что появилась целая плеяда малвари, основанной на выложенном исходном коде. Один из наиболее успешных охотников за старыми устройствами — троян CopyCat. По статистике Check Point, у него 14 миллионов заражений и на восьми миллионах из них получен root-доступ. При этом CopyCat не использовал никаких секретных эксплоитов — сплошной паблик. К примеру, вот один из них на GitHub. Согласно статистике, в этом году наибольший рост показали так называемые Adware — вирусы, зарабатывающие на демонстрации рекламы пользователю. Летом в Google Play была обнаружена корейская малварь Judy: для ее распространения создали более сорока приложений, каждое из которых пользовалось большим успехом — миллионы загрузок и активных пользователей. Приложения действительно работали, это были незатейливые игры, рассчитанные на пользователей школьного возраста. Чтобы не гонять лишний трафик, троян умел находить ссылки на партнерки и переходил только по ним. Сначала Judy получал с управляющего центра ссылку на страницу с рекламой, на которой висели партнерские баннеры, и загружал себе ее контент. На загруженной странице открывались не все ссылки подряд, а только рекламные. Для парсинга строк есть класс Pattern , полностью повторяющий синтаксис регулярных выражений языка Perl. Поначалу это похоже на мешанину, а потом разбираешься и парсинг идет на ура. У партнерки будут какие-то общие признаки — один домен, реферер и так далее. Вот такой регуляркой вытаскиваются все ссылки на поддомены google. Хозяева рекламной площадки не должны знать, что баннеры загружаются в автоматическом режиме, значит, нужно открывать ссылки настоящим браузером. Это несложно, в Android есть класс WebView — полноценный браузер на движке Chrome. Любопытно, что, открывая страницу, малварь мимикрировала под полноценный компьютер — видимо, для таких переходов стоимость клика выше. Мне часто приходится разворачивать свою рабочую среду в частности, Kali Linux на новых м…. А антивирус в Google Play Services был встроен еще во времена Android 4. Play Protect — всего лишь добавленный гуглом интерфейс. Войдите, чтобы ответить. Друзья, Play protect встроен в Chrome и, как настоящий антивирус, сканирует файловую систему. Кроме того игры грузят не dex файлы a apk expansion files — что по большей части является игровым контентом а исполняемым кодом. Это особенность Google Play, кроме него есть и другие магазины, да и установку приложений вручную в своих целях никто не отменял. Чтобы оставить мнение, нужно залогиниться. Xakep Чемоданчик хакера. Укрепляем VeraCrypt. Погружение в AD. Мобильная версия статьи. Содержание статьи Источник эпидемии Где я? Старая уязвимость лучше новых двух Гоним рекламу Банковская тайна Маскировка вредоноса PlayProtect, или костыль от Google Строим прогнозы. С каждым годом пользователям мобильных устройств становится все сложнее избежать заражения. И хотя статистически по сравнению с годом особого роста нет, отчетов о мобильных зловредах стало гораздо больше. Далее по этой теме Ранее по этой теме. Дезинфицируем Android. Малварь для Android за полчаса. Отслеживаем местоположение, читаем SMS, пишем аудио и делаем фото Android принято называть рассадником вирусов и бэкдоров. Каждый день здесь выявляют более …. Пишем майнер на Java. Кодим добытчик криптовалюты Electroneum В наше время каждая бабушка слышала о криптовалютах, курсы майнинга проводят даже серьезны…. Android: взлом с помощью дебаггера, обфускация приложений и асинхронная магия Kotlin Сегодня в выпуске: взлом приложений с нативным кодом с помощью дебаггера, большое исследов…. Android: обзор Android Go, новые механизмы защиты Android P и обратный шелл с помощью Frida Сегодня в выпуске: отличия облегченного Android Go от стандартного Android, новые механизм…. Минутка ненависти Android-разработчика. Разбираем 10 самых частых проблем кодинга Двадцать лет назад использовать Android было невозможно. Десять лет назад было еще рано. Строим мобильное приложение на Firebase — бесплатном и мощном бэкэнде Google Новый сервис Firebase от Google способен покрыть большинство потребностей мобильного разра…. Кодинг для Chromecast. Транслируем видео на телевизор из своего приложения для Android Китайские интернет-магазины предлагают медиаплееры на любой вкус, цвет и конфигурацию за н…. Служба, которая не спит. Фишинг на Android. Разбираем техническую сторону типовых атак Фишинг, или мошенничество с целью кражи данных при помощи копирования внешних образов попу…. Android: Cофт для потрошения APK, гайд по скрытым проблемам Kotlin, новые исследования и полезные библиотеки Мы обновляем нашу рубрику для фанатов Android. Весь июнь мы выбирали интересный гик-софт, …. Рулим дотфайлами. Как быстро повысить комфорт в любом Linux или WSL Мне часто приходится разворачивать свою рабочую среду в частности, Kali Linux на новых м…. Самые популярные вирусные техники года. И толку-то от него Войдите, чтобы ответить. Андрей Пахомов Это особенность Google Play, кроме него есть и другие магазины, да и установку приложений вручную в своих целях никто не отменял Войдите, чтобы ответить. Оставить мнение отменить Чтобы оставить мнение, нужно залогиниться. Последние взломы. Компьютерные трюки. Свежие новости 15 hour назад Torrent Freak: из-за пандемии вырос интерес к пиратским сайтам 18 hour назад Операторы шифровальщика Sodinokibi отказываются от Bitcoin и переходят на Monero 19 hour назад Qrator Labs изучила DDoS-атаки и изменения трафика во время пандемии коронавируса 20 hour назад Голландская полиция закрыла 15 DDoS-сервисов за неделю 21 hour назад В даркнете продают учетные данные пользователей Zoom.

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Android Malware Analysis

Start your free trial. This exercise covers the techniques to analyze Android malware by using a custom malware sample. The malware, when running on an Android device, will give a reverse shell to the attacker. We will analyze the full functionality of the app by using both static and dynamic analysis techniques. This looks as shown below. By default, Santoku consists of images of only a few Android versions. Depending on the requirement, we should download Android images to create an appropriate emulator. As you can see in the above figure, we already have one emulator configured. Internal Storage is MB. Once if you are done with the steps shown, you should see an additional Virtual Device as shown below. You should see the following confirmation dialogue. Be patient and wait for a while as the emulator may take a longer time to launch when you do it for the first time. Once it is started, you should see an emulator as shown below. Static Analysis involves decompiling the application and looking at the source code and analyze it to understand what the malware is doing. XML file. We can get the AndroidManifest. But, before we do this, we should make sure that we are using the latest version of apktool and delete 1. You can run the above command from anywhere in the terminal. This looks as shown in the figure below. Navigate to the folder and list the files and folders inside it as shown in the figure below. And then, run ls command to list the files and folders inside the current folder. As you can see in the above figure, this listing has got AndroidManifest. Even this app is not asking for any dangerous permissions. The above command should create additional files and folders within the current directory. This step generates. These class files are further given to dx tool which generates classes. We can use dex2jar command line tool to convert the dex file into a jar file. This is an essential step to understanding the source code of the application. As we can see in the above figure, classes. We can now use any traditional java decompiler to get java files from the above jar file. As mentioned earlier, we will use this tool to get java files from the jar file. Nice, we can see the package name com. We can also see three different classes which include MainActivity. Exploring the MainActivity shows a lot of interesting information. Interestingly, there are three methods in the above piece of code. The following piece of code is the definition for copyFile method. The argument has been passed to localAssetManager. Then, the destination file path has been built. The next few lines are used to copy the file into the destination. The output should look as shown below. This confirms that the file inside the assets folder is an executable file possibly built for Android devices. The following piece of code shows the definition of this method. We can verify if the file permissions have been changed. Launch the emulator we created earlier, install the application and launch it. To install the app, switch back to your terminal and make sure that you are inside analysis folder where the target apk file is located. Once installed, make sure that you launch the app so that the code we have viewed will be executed. Finally, there is one last method to explore. The above code snippet shows that the app is using Runtime. This connection is being made using netcat binary that is bundled with the apk file. When we attempt to perform static analysis, the code might be obfuscated by the developer which is hard to explore. In such cases, relying on static analysis could be troublesome. This is where dynamic analysis comes into the picture. The dynamic analysis consists of the steps to analyze the app by running it. Usually, this process checks for API calls, network calls, etc. The app should look as shown in the figure below once you launch it. This can be done using adb push command as shown in the figure below. Now, the tcpdump binary is executable. As we can see in the above figure, we are capturing the packets and saving them to a file called packets. Now, close the application once by clicking the back button on the emulator and launch it back. The app has only one page, so closing and restarting it is enough in our case. Now, we can pull these packets on to a local machine for further analysis. We have pulled the captured packets. Now, we need to analyze it. We will use Wireshark for analyzing these packets. Well, there are many packets for analysis, and we need to filter the packets by removing unnecessary packets that we are not interested in. This filter is applied since we are looking for packets with a three-way handshake. The above filter removes many packets that we are not interested in. Scrolling down in Wireshark has shown the following two packets. As you can see in the above figure, there is an SYN packet going from Note: Emulator takes This is the port the malware is trying to connect to. This gave us an idea that the app is trying to make remote connections over a tcp port to the IP Now, start tcpdump on the emulator as we did earlier. Save the packets into a file called packets2. Then, launch the target application to generate the traffic. When you do it, you will receive a reverse shell on the netcat listener. Once again, open the pcap file in Wireshark and look for the 3-way handshake in the captured packets. The following figure shows the 3-way handshake. As we can see in the above figure, Click on the second packet and you should see the response coming from Santoku You may notice the source port Finally, click on the 3rd packet to see the ACK packet sent by the source destined to the Santoku machine on port Since we are using netcat on both the sides, it uses clear text transmissions, and we can even see the communications. The following figure shows tcpdump capturing the packets and writing them into packets3. Now, open up the packets in Wireshark and look for strings that we have entered. This can be done as shown in the figure below. Now, we should see the packet that has the content we are looking for. Select the packet and give a right click. The following options should be shown. This lab has covered fundamental concepts of analyzing Android malware both using static and dynamic analysis techniques. Nevertheless, the idea here is to show the common analysis techniques, and these techniques remain the same. Your email address will not be published. Save my name, email, and website in this browser for the next time I comment. InfoSec institute respects your privacy and will never use your personal information for anything other than to notify you of your requested course pricing. We will never sell your information to third parties. You will not be spammed. Share Tweet. Ethical Hacking Training Our students have the highest exam pass rate in the industry! Learn more. Objective: This exercise covers the techniques to analyze Android malware by using a custom malware sample. You may download the support files here: Download. Author Srinivas. Srinivas is an Information Security professional with 4 years of industry experience in Web, Mobile and Infrastructure Penetration Testing. He is currently a security researcher at Infosec Institute Inc. He blogs atwww. Email: srini0x00 gmail. June 7, at pm. Leave a Reply Cancel reply Your email address will not be published.

Android Malware About to Get Worse: GM Bot Source Code Leaked

Купить закладки спайс в Духовщине

Купить ганджубас Москва Хамовники

Купить бошки закладкой Мармарис

Экстази купить Герцег-Нови

Купить коноплю Темиртау

Купить закладку кокса Орехово-Зуево

Купить бошки закладкой Бухарест

Закладки бошки в Баксане

Analyzing a variant of the GM Bot Android malwareSecurity Affairs

Android Malware Analysis

Android Malware About to Get Worse: GM Bot Source Code Leaked

Report Page